Sağlık Verilerine ‘Sıkı Yönetim’
Kişisel Verileri Koruma Kanunu
kapsamında ‘özel nitelikli kişisel veri’ kategorisinde bulunan sağlık
verilerinin işlenmesine ‘sıkı kontrol’ getirildi. Sağlık Bakanlığı’nın
hazırladığı Kişisel Sağlık Verileri Hakkında Yönetmelik 21 Haziran 2019 tarihli
Resmi Gazete'de yayımlanmıştı. Yönetmelik, Kişisel Sağlık Verilerinin İşlenmesi
ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’i yürürlükten kaldırarak,
kişisel sağlık verilerinin özel hukuk gerçek ve tüzel kişileri ile kamu hukuku
tüzel kişileri tarafından işlenmesini öngörüyor.
Sağlık verilerinin işlenmesine ilişkin
veri güvenliği yükümlülüklerinin ihlali halinde, 15.000 Türk Lirası’ndan
1.000.000 Türk Lirası’na kadar idari para cezası uygulanabilecek.
Yönetmelik, sağlık verilerinin
işlenmesine ilişkin genel ilke ve kuralların yanı sıra, Sağlık Bakanlığı’nın
uygulamada olan e-Nabız Sistemi’nde yer alan sağlık verileri, mahremiyet düzeyi
yüksek olan sağlık verileri, çocuklara ait sağlık verilerine erişim ve sağlık
verilerine sağlık personeli de dahil olmak üzere üçüncü kişilerce erişim gibi
konularda detaylı düzenlemeler içeriyor.
Yönetmelik ayrıca, sağlık hizmeti sunucularını, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren dosya, rapor gibi basılı materyal üzerinde gerekli kimliksizleştirme veya maskeleme tedbirlerini uygulamakla yükümlü kılıyor.
Öte yandan, Sağlık Bakanlığı mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını etkileme riski yüksek olan sağlık verileri belirleyecek ve sağlık personelinin bu verilere erişimine ilişkin yeni kısıtlamalar getirebilecek.
Yönetmelikle avukatlar için getirilen düzenleme uyarınca da müvekkilin sağlık verilerinin ve özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren bir özel vekaletname gerekiyor.
Yönetmelik ayrıca, sağlık hizmeti sunucularını, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren dosya, rapor gibi basılı materyal üzerinde gerekli kimliksizleştirme veya maskeleme tedbirlerini uygulamakla yükümlü kılıyor.
Öte yandan, Sağlık Bakanlığı mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını etkileme riski yüksek olan sağlık verileri belirleyecek ve sağlık personelinin bu verilere erişimine ilişkin yeni kısıtlamalar getirebilecek.
Yönetmelikle avukatlar için getirilen düzenleme uyarınca da müvekkilin sağlık verilerinin ve özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren bir özel vekaletname gerekiyor.
Veri İhlallerini Kim Değerlendiriyor?
Kişisel Verileri Koruma Kurumu, verilere yönelik başvuru, şikayet ve ihbarları değerlendirerek, Kişisel Verileri Koruma Kanunu’na göre, veri güvenliği ihlali halinde bazı yaptırımlar öngörüyor. Kurum, veri güvenliğinin nasıl sağlanacağına ilişkin ‘Kişisel Veri Güvenliği Rehberi’ yayımlamıştı.
Kişisel Verileri Koruma Kurumu, verilere yönelik başvuru, şikayet ve ihbarları değerlendirerek, Kişisel Verileri Koruma Kanunu’na göre, veri güvenliği ihlali halinde bazı yaptırımlar öngörüyor. Kurum, veri güvenliğinin nasıl sağlanacağına ilişkin ‘Kişisel Veri Güvenliği Rehberi’ yayımlamıştı.
Kurum, 3 Temmuz 2019 tarihinde verdiği üç
yeni kararı yayımladı. Kurum bu kararlarla, veri ihlali durumlarında izleyeceği
yolla ilgili kamuoyunu bilgilendirmiş oldu.
Kurum'un ilk kararı taşımacılık ve
ulaşım sektöründe olan bir şirkete ilişkin olarak verildi. Kararda veri ihlali
nedeniyle Türkiye'de yerleşik 67,519 kişinin kişisel verilerine ulaşıldığı
belirtildi. İhlal sonucu yetkisiz ulaşım sağlanan kişisel veriler arasında
cinsiyet, ad, soyad, T.C. kimlik numarası, doğum tarihi, cep telefonu numarası,
e-posta adresi, ödeme anahtarı ve ulaşım bilgileri bulunuyor. Kurum ihlalin iki
ay boyunca devam etmesinin veri sorumlusu tarafından gerekli denetim ve
kontrollerin yapılmadığının göstergesi olduğunu ve yetkisiz kişi veya kişilerin
Şirketin kaynak koduna (source code) ulaşarak değişiklik yapmasının ciddi bir
güvenlik açığı olduğuna karar verdi.
Kurumun ikinci kararında ise bir otel
zincirinin müşteri verilerini barındıran sistemlerde meydana gelen veri ihlali
ele alındı. Veri ihlali neticesinde müşteri isimleri, e-posta adresleri ve
telefon numaraları, doğum tarihleri, kredi kartı ve güvenlik numaraları dört
yıl boyunca yetkisiz erişime maruz kaldı. Yetkisiz erişimin dört yıl sürmesi
nedeniyle Kurum, sistemlerde çok ciddi bir güvenlik açığının olduğu ve bu nedenle
gerekli teknik ve idari tedbirlerin alınmadığına kanaat getirildi.
Kurum'un üçüncü kararı da bir havayolu
şirketinde yaşanan ve şirketin müşteri sadakat sistemi verilerinin bulunduğu
sisteme ilişkin veri ihlalini konu alıyor. Veri ihlaline konu kişisel veriler
müşterilerin ismi, uyruğu, doğum tarihi, telefon numarası, elektronik posta
adresi, pasaport numarası, kimlik kartı numarası, “frequent flyer” üyelik
numarası, müşteri hizmetleri notları ve geçmiş seyahat bilgileri gibi
bilgilerden oluşuyor. Havayolu şirketinin ihlale konu şüpheli hareketlerden
haberdar olmasından iki ay sonra ihlali tespit etmiş olması Kurum tarafından
gerekli teknik ve idari tedbirlerin alınmadığı yönünde değerlendiriliyor.
Yorumlar
Yorum Gönder